FAQ-为什么配置长连接后部分带有长连接标记的TCP会话老化时间不是长连接配置的老化时间

发布时间:  2014-09-18 浏览次数:  167 下载次数:  0
问题描述
为什么配置长连接后部分带有长连接标记的TCP会话老化时间不是长连接配置的老化时间?
解决方案
配置了lonk-link后,对于符合长连接条件的TCP报文,在防火墙收到TCP的首包(即第一个SYN报文)时,会置上长连接的标记,老化时间仍为设置的SYN报文的老化时间(默认为5s);只有TCP三次握手完成后,防火墙才会将session表的老化时间设置为长连接的老化时间;在TCP四次握手完全关闭连接(即防火墙收到第二个FIN-ACK报文)或收到RST报文后,防火墙会将该TCP对应的session的老化时间置为配置的FIN-RST的老化时间(默认为10s),长连接标志并没有去掉。

END